Режим інкогніто не допоможе. Нова технологія дозволяє відстежувати користувачів через favicon.
Нові трекери в браузері можуть відстежувати ваші дії, навіть коли ви підключилися до VPN і активували режим інкогніто
Той факт, що дії користувача можуть відстежуватись сайтами, які він відвідує, призвів до появи конфіденційних браузерів та таких розширень, як Privacy Badger. Користувачі також включають режим інкогніто під час перегляду сторінок в Інтернеті та регулярно видаляють файли cookie. Проте всі ці запобіжні заходи марні проти нового виду трекерів.
Ці трекери використовують фавікони, крихітні значки, які відображаються разом із сайтом на вкладці браузера та у списку закладок. Дослідники з Університету Іллінойс до Чикаго заявили у своїй новій статті, що більшість браузерів кешують ці зображення до папки, яка знаходиться окремо від даних, пов’язаних з історією перегляду та файлами cookie. Сайти можуть зловживати цим фактом, завантажуючи в браузер користувача цілу низку фавіконів, які стежитимуть за його активністю протягом тривалого часу.
«Потужний вектор стеження»
«Хоча фавікони протягом багатьох років вважаються лише декоративним доповненням до назви сайту, адже браузер показує їх користувачу для кращого запам’ятовування бренду компанії, дослідження доводить, що вони являють собою «потужний вектор стеження ». Цей тип відстеження приховує значну загрозу конфіденційності користувача», – стверджують дослідники з Чикаго. Більше того, за їхніми словами:
“За допомогою фавіконів відстеження може бути легко реалізовано будь-яким веб-сайтом без необхідності будь-якої взаємодії з користувачем або його згоди. Трекер збиратиме інформацію про дії людини навіть при використанні популярних розширень антивідстеження. Більш того, спосіб кешування в сучасних браузерах робить подібну атаку на дані користувача особливо небезпечною, оскільки фавікон відображаються (і кешуються) навіть при перегляді сторінок в режимі інкогніто. Це відбувається через застосування неправильних методів захисту приватності у всіх основних браузерах"
Ваші дії можуть легко відстежуватися, якщо ви використовуєте Chrome, Safari та Edge. Розробники Brave вже створили ефективні контрзаходи даного типу стеження. Вони змогли зробити це тільки після отримання приватного звіту від дослідників з університету Чикаго. Firefox не сприйнятливий до цього типу атак, оскільки має низку багів, пов’язаних з кешуванням фавіконів.
Браузери зберігають фавікони в кеші, щоб їм не доводилося вимагати їх у веб-сайту щоразу. Цей кеш не видаляється, коли користувачі очищають кеш браузера або файли cookie. Він активно використовується навіть якщо перейти в режим приватного перегляду інтернет-сторінок. Веб-сайт зберігає певну комбінацію фавіконів, коли людина вперше відкриває сторінки ресурсу. Перевіряючи наявність зображень у кеші, веб-сайт може ідентифікувати браузер певного користувача при повторному відвідуванні ресурсу. Навіть якщо людина вживає активних заходів для запобігання відстеженню, вона все одно буде розпізнана.
Відстеження у браузерах стало проблемою з моменту появи Інтернету. Як тільки користувачі навчилися легко видаляти файли cookie, веб-сайти придумали нові способи ідентифікації їх відвідувачів.
Один з подібних методів відстеження відомий як збір цифрових відбитків (або актилоскопія ). Це процес, під час якого збирається інформація про розширення екрана, список доступних шрифтів, версії програмного забезпечення та інші властивості комп’ютера користувача. Таким чином, на підставі зібраних даних створюється профіль, який приписується певній машині. Дослідження 2013 показало, що 1,5% найпопулярніших сайтів у світі користуються даним методом відстеження. Дактилоскопія пристрою ефективна навіть коли люди використовують кілька браузерів. Як контрзаходи деякі браузери спробували обмежити дане відстеження, але найчастіше – безуспішно.
Досить і двох секунд
Веб-сайти можуть використовувати цей метод, перенаправляючи користувачів через цілу низку піддоменів (кожен зі своїм власним фавіконом), перш ніж вони потраплять на сторінку, яку запитують. Кількість необхідних перенаправлень варіюється в залежності від кількості унікальних відвідувачів сайту. Щоб мати можливість відстежувати 4,5 мільярда унікальних браузерів, веб-сайту потрібно перенаправити користувача 32 рази. Кожен такий перенапрямок займає 1 біт ентропії. Це додає приблизно 2 секунди до загального часу завантаження потрібної користувачеві сторінки. За допомогою спеціальних налаштувань веб-сайти можуть зменшити цю затримку.
У статті це пояснюється так:
Зважаючи на властивості сучасних браузерів, ми бачимо новий механізм постійного відстеження активності користувача, який дає можливість веб-сайтам ідентифікувати людину під час повторного відвідування ресурсу, навіть якщо вона використовує режим інкогніто або попередньо очистив кеш. Зокрема, веб-сайти можуть створювати та зберігати унікальний ідентифікатор браузера за допомогою комбінації записів фавіконів у кеші. Більше того, це відстеження може бути виконане будь-яким веб-сайтом. Йому потрібно перенаправити користувача відповідним чином через ряд піддоменів. Ці піддомени мають різні фавікони і таким чином створюють свої власні записи у фавікон-кеші. Набір n-піддоменів може бути використаний для створення n-бітного ідентифікатора, унікального для кожного браузера. Оскільки зловмисник повністю контролює веб-сайт, він може перенаправити користувача через сотні піддоменів без взаємодії з ним. По суті наявність фавікона в кеші піддомена відповідає значенню 1 в біті ідентифікатора, а його відсутність – дасть значення 0.
Дослідники, які займалися цим питанням: Константинос Соломос, Джон Крістофф, Кріс Каніч та Джейсон Полакіс. Усі вони працюють в Університеті Іллінойс, штат Чикаго.
Представник Google заявив, що компанія вже знає про цей тип відстеження та працює над створенням контрзаходів. Тим часом представник Apple стверджує, що компанія лише вивчає отримані у дослідженні результати. Дослідники з Чикаго також зв’язалися з Microsoft і Brave, які поки що не дають жодних коментарів.
Як уже зазначалося раніше, Brave може заблокувати такий вид відстеження.
За матеріалами arsTechnica.
Зображення на обкладинці: Ricardo Santos